Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WDC de Kabona AB

Múltiples vulnerabilidades en WDC de Kabona AB

Fecha de publicación: 
14/10/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • Todas las versiones anteriores a la 3.4.0 de WDC.
Descripción: 

Martin Jartelius y John Stock de Outpost 24 han identificado varias vulnerabilidades en el WebDatorCentral (WDC) de Kabona AB.

Solución: 

Kabona AB recomienda actualizar a la última versión de software del producto afectado.

Detalle: 

Las vulnerabilidades que afectan al WDC pueden ser explotadas de forma remota y son las siguientes:

  • Cross-Site Scripting: El servidor web no realiza un correcto filtrado de los parámetros de entrada, lo que podría permitir a un atacante inyectar scripts o ejecutar código arbitrario. Se ha reservado el identificador CVE-2016-8356 para esta vulnerabilidad.
  • Redirección abierta: No se realiza una verificación en las redirecciones, este hecho permite a un atacante manipular las rutas y explotar otras vulnerabilidades redirigiendo la navegación a una URL externa. Se ha reservado el identificador CVE-2016-8376 para esta vulnerabilidad.
  • Restricciones inapropiadas frente al exceso de intentos de autenticación: WDC no posee un límite de intentos cuando los usuarios realizan su autenticación. Esta situación podría permitir ataques de fuerza bruta para intentar lograr el acceso. Se ha reservado el identificador CVE-2016-8347 para esta vulnerabilidad.